EMAIL ANLEITUNG

DKIM Lookup: Die digitale Signatur von E-Mails erklärt

Wie DKIM die Integrität Ihrer E-Mails durch asymmetrische Kryptografie schützt, wie Sie den Eintrag überprüfen und die häufigsten Probleme lösen.

DKIM: der digitale Fingerabdruck Ihrer E-Mails

DomainKeys Identified Mail (DKIM) ist ein E-Mail-Authentifizierungsprotokoll, das Public-Key-Kryptografie nutzt, um sicherzustellen, dass eine E-Mail während der Übertragung nicht verändert wurde. Im Gegensatz zu SPF, das nur die IP des sendenden Servers überprüft, signiert DKIM den Inhalt der E-Mail kryptografisch und ermöglicht dem Empfänger, Integrität und Authentizität zu verifizieren. Jede mit DKIM signierte E-Mail enthält einen DKIM-Signature-Header mit der digitalen Signatur, die über den Nachrichtentext und ausgewählte Header berechnet wird.

Der Mechanismus arbeitet mit zwei Schlüsseln: einem privaten Schlüssel (der vom sendenden Mailserver verwahrt wird) und einem öffentlichen Schlüssel (der im DNS der Domäne veröffentlicht wird). Wenn der Server eine E-Mail sendet, berechnet er einen Hash des Inhalts und verschlüsselt ihn mit dem privaten Schlüssel. Der empfangende Server ruft den öffentlichen Schlüssel aus dem DNS ab, entschlüsselt die Signatur und vergleicht den Hash mit dem lokal berechneten. Stimmen sie überein, ist die Nachricht authentisch und unverändert.

Wie der DKIM-Selektor funktioniert

Jeder DKIM-Eintrag wird durch einen Selektor identifiziert — ein Präfix, das es ermöglicht, mehrere DKIM-Schlüssel für dieselbe Domäne zu haben. Der Eintrag befindet sich unter selektor._domainkey.domäne.com. Wenn Google Workspace beispielsweise den Selektor „google" verwendet, findet sich der öffentliche Schlüssel unter google._domainkey.beispiel.com. Dieses System erlaubt die Verwendung verschiedener Schlüssel für verschiedene Dienste: einen für den Unternehmensserver, einen für die Marketing-Plattform, einen für das Ticketsystem.

DKIM-Eintrag im DNS
# Record DKIM per Google Workspace (selector: google)
google._domainkey.esempio.com. IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhki...chiave_pubblica_base64..."

# Header DKIM-Signature in un'email
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=esempio.com; s=google;
  h=from:to:subject:date:message-id;
  bh=hash_del_body;
  b=firma_digitale_base64

Im DKIM-Signature-Header sind die wichtigsten Parameter: d= (signierende Domäne), s= (Selektor), h= (in die Signatur einbezogene Header), bh= (Hash des Nachrichtentexts), b= (die eigentliche Signatur). Der Parameter a= gibt den Algorithmus an (rsa-sha256 ist der aktuelle Standard). Der Parameter c= legt die Kanonisierung fest: relaxed ist toleranter gegenüber geringfügigen Änderungen an Leerzeichen, strict erfordert exakte Übereinstimmung.

Diagnose und Fehlerbehebung bei DKIM

Das häufigste DKIM-Problem ist eine Signatur, die die Überprüfung nicht besteht. Die Hauptursachen sind: fehlender oder fehlerhafter öffentlicher Schlüssel im DNS (überprüfen Sie ihn mit unserem DKIM Lookup), Änderungen an der Nachricht während der Übertragung (Mailinglisten, die Betreff oder Text verändern), ein privater Schlüssel, der nicht zum öffentlichen passt, sowie DNS-Einträge mit Formatierungsfehlern. Mailinglisten sind besonders problematisch, da sie häufig Fußzeilen hinzufügen oder den Subject-Header ändern und damit die ursprüngliche DKIM-Signatur ungültig machen.

Um DKIM-Probleme zu diagnostizieren, analysieren Sie die Header der empfangenen E-Mail mit dem E-Mail-Header-Analyzer. Suchen Sie das Feld Authentication-Results, das das Ergebnis der DKIM-Überprüfung anzeigt: dkim=pass bedeutet, dass die Signatur gültig ist, dkim=fail weist auf ein Problem hin. Der DKIM-Signature-Header in der E-Mail enthält den Selektor (s=) und die Domäne (d=), die für die manuelle Überprüfung benötigt werden.

Schlüssellänge und Rotation

Die Schlüssellänge bei DKIM ist ein entscheidender Sicherheitsaspekt. 1024-Bit-Schlüssel, einst Standard, gelten heute als anfällig für Faktorisierungsangriffe mit moderner Hardware. Die aktuelle Empfehlung lautet, 2048-Bit-Schlüssel zu verwenden, die ein angemessenes Sicherheitsniveau für die kommenden Jahre bieten. Einige Anbieter unterstützen 4096-Bit-Schlüssel, diese können jedoch Probleme mit den Größenbeschränkungen von DNS-TXT-Einträgen verursachen (255 Zeichen pro String).

Die regelmäßige Rotation der DKIM-Schlüssel ist eine oft vernachlässigte Best Practice. Sie umfasst die Generierung eines neuen Schlüsselpaars, die Veröffentlichung des neuen öffentlichen Schlüssels mit einem neuen Selektor, die Konfiguration des Servers zur Signierung mit dem neuen privaten Schlüssel und nach einer Übergangszeit die Entfernung des alten öffentlichen Schlüssels aus dem DNS. Eine Rotation alle 6–12 Monate wird empfohlen, um die Gefährdung im Falle einer Kompromittierung des privaten Schlüssels zu begrenzen.

DKIM im Kontext der E-Mail-Authentifizierung

DKIM ist die zweite Säule der E-Mail-Authentifizierung, zwischen SPF und DMARC. Während SPF überprüft, wer sendet (die IP des Servers), verifiziert DKIM, was gesendet wird (die Integrität der Nachricht). DMARC kombiniert dann die Ergebnisse beider, indem es die Domänenausrichtung prüft: Die Domäne im From-Header muss mit der durch SPF (Envelope From) oder DKIM (Signaturdomäne) authentifizierten Domäne übereinstimmen. Ohne DKIM stützt sich DMARC nur auf SPF, was den Schutz erheblich verringert.

Für eine vollständige Überprüfung Ihrer DKIM-Konfiguration verwenden Sie unseren DKIM Lookup unter Angabe von Domäne und Selektor. Das Tool zeigt den öffentlichen Schlüssel, die Bitlänge, den Algorithmus und meldet eventuelle Probleme. Kombinieren Sie das Ergebnis mit den Überprüfungen von SPF Lookup und DMARC Lookup für ein vollständiges Bild Ihrer E-Mail-Authentifizierung.

DKIM Lookup kostenlos testen
Prüft den DKIM-Eintrag für die digitale Signatur von E-Mails
DKIM Lookup verwenden >

Explore the Network

capops.io Free tools for DevOps & SysAdmin — monitoring, deploy, CI/CD, server management and more Visit → pixcode.io Free graphic tools — image converter, color palette generator, SVG optimizer and more Visit →